Зловмисники скомпрометували критично важливі компоненти екосистеми SAP
Компанія Acronis в своєму дайджеті повідомила про успішну атаку на ланцюжок постачань, унаслідок якої було компрометовано офіційні npm-пакети компанії SAP. Ці компоненти використовуються у розробці для хмарних моделей SAP (Cloud Application Programming Model та Cloud MTA). За кібератакою, ймовірно, стоїть угруповання TeamPCP.
Офіційні npm-пакети компанії SAP — це критично важлива частина екосистеми корпоративної розробки для бізнесу. На відміну від звичайних публічних плагінів, ці пакети створюються безпосередньо інженерами SAP і призначені для розгортання, масштабування та інтеграції великих корпоративних систем у хмарі. Ці бібліотеки та утиліти розповсюджуються через офіційні реєстри (як-от публічний npm або внутрішні репозиторії клієнтів)
Після виявлення загрози шкідливі версії пакетів застаріли (були депрековані), проте інцидент змусив розробників терміново змінювати секретні ключі та проводити розслідування в уражених середовищах.
Як працювала атака та що було викрадено:
- Механізм: Шкідливі пакети містили скрипт передвстановлення (preinstall), який запускав завантажувач. Він стягував середовище виконання Bun JavaScript із GitHub та виконував заплутане (обфусковане) корисне навантаження.
- Ціль: Вірус полював на конфіденційні дані розробників — токени npm і GitHub, SSH-ключі, облікові дані хмарних сервісів (AWS, Azure, GCP), секрети Kubernetes, дані CI/CD-процесів та змінні оточення.
- Особливості: Зловмисники намагалися викрасти секрети безпосередньо з пам’яті запускників (CI runners) і завантажували зашифровані дані у публічні репозиторії GitHub під виглядом акаунтів жертв.
Вірус також мав логіку саморозмноження: викрадені дані npm або GitHub могли використовуватися для компрометації нових пакетів і репозиторіїв.
Зазначимо, що в квітні хакери викрали 10 петабайт даних із суперкомп’ютерного центру Тяньцзіня в Китаї.
